特許6014746 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧

特許6014746不正利用検出方法及び不正利用検出装置

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6014746

(24)【登録日】2016年9月30日

(45)【発行日】2016年10月25日

(54)【発明の名称】不正利用検出方法及び不正利用検出装置

(51)【国際特許分類】

G06F 21/31 20130101AFI20161011BHJP

【ＦＩ】

G06F21/31 360

【請求項の数】14

【全頁数】16

(21)【出願番号】特願2015-502685(P2015-502685)

(86)(22)【出願日】2013年3月1日

(86)【国際出願番号】JP2013055616

(87)【国際公開番号】WO2014132431

(87)【国際公開日】20140904

【審査請求日】2015年5月22日

(73)【特許権者】

【識別番号】000005108

【氏名又は名称】株式会社日立製作所

(74)【代理人】

【識別番号】100100310

【弁理士】

【氏名又は名称】井上学

(74)【代理人】

【識別番号】100098660

【弁理士】

【氏名又は名称】戸田裕二

(74)【代理人】

【識別番号】100091720

【弁理士】

【氏名又は名称】岩崎重美

(72)【発明者】

【氏名】花井知広

(72)【発明者】

【氏名】菊地克朗

(72)【発明者】

【氏名】中村友洋

【審査官】戸島弘詩

(56)【参考文献】

【文献】特開２００９−１７５９８４（ＪＰ，Ａ）

【文献】特開２００８−２７６４５３（ＪＰ，Ａ）

【文献】特開２００１−０９２７８３（ＪＰ，Ａ）

【文献】特開２０１１−２２７５６９（ＪＰ，Ａ）

【文献】特開２０１１−１９７８０２（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１／００，Ｇ０６Ｔ７／００

(57)【特許請求の範囲】

【請求項1】

ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録し、
端末装置の操作ログを取得し、
該操作ログから一つ以上の種類の操作特徴量を算出し、
該算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出方法。

【請求項2】

請求項１に記載の不正利用検出方法であって、
前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも１つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出方法。

【請求項3】

請求項１に記載の不正利用検出方法であって、
前記操作特徴量から前記端末装置の利用状況を判定し、
前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出方法。

【請求項4】

請求項１に記載の不正利用検出方法であって、
前記ユーザが閲覧したＷｅｂページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出方法。

【請求項5】

請求項１に記載の不正利用検出方法であって、
前記類似度に応じて認証方法を変更することを特徴とする不正利用検出方法。

【請求項6】

請求項５に記載の不正利用検出方法であって、
前記類似度と所定の閾値を比較し、
前記比較結果に応じて、Ｗｅｂページへのアクセスを拒否するか、再認証用Ｗｅｂページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのＷｅｂページを前記端末装置に表示するか、何れか１つを選択することを特徴とする不正利用検出方法。

【請求項7】

請求項６に記載の不正利用検出方法であって、
アクセス先のＷｅｂサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出方法。

【請求項8】

ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録する記録部と、
端末装置の操作ログを取得する操作ログ取得部と、
該操作ログから一つ以上の種類の操作特徴量を算出する操作特徴量算出部と、
該算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出部と、を有することを特徴とする不正利用検出装置。

【請求項9】

請求項８に記載の不正利用検出装置であって、
前記操作特徴量算出部は、前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも１つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出装置。

【請求項10】

請求項８に記載の不正利用検出装置であって、
前記操作特徴量から前記端末装置の利用状況を判定する利用状況判定部を有し、
前記不正利用検出部は、前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出装置。

【請求項11】

請求項８に記載の不正利用検出装置であって、
前記記録部は、前記ユーザが閲覧したＷｅｂページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出装置。

【請求項12】

請求項８に記載の不正利用検出装置であって、
前記類似度に応じて認証方法を変更することを特徴とする不正利用検出装置。

【請求項13】

請求項１２に記載の不正利用検出装置であって、
前記類似度と所定の閾値を比較し、
前記比較結果に応じて、Ｗｅｂページへのアクセスを拒否するか、再認証用Ｗｅｂページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのＷｅｂページを前記端末装置に表示するか、何れか１つを選択することを特徴とする不正利用検出装置。

【請求項14】

請求項１３に記載の不正利用検出装置であって、
アクセス先のＷｅｂサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、計算機システムにおけるユーザの特定方法に関する。

【背景技術】

【0002】

スマートフォンやタブレット端末などのモバイル端末の急速な普及により、従業員がこれらの端末を利用して業務を行うことが増えている。しかしながら、端末の紛失や盗難により第三者が端末を悪用した場合に、社内システムへの不正アクセスにより情報漏洩などが発生するリスクがある。一般的には端末側でのセキュリティ対策（端末ロック、リモートワイプ等）が実施されるが、ロック未設定やアンロック状態での盗難の場合は、完全に防ぐことができない。そのため端末側での対策によらず、社内システム側でも不正利用対策が必要である。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２００６−２６０４５４

【特許文献2】特開２０１１−１９７８０２

【特許文献3】特開２００９−１７５９８４

【発明の概要】

【発明が解決しようとする課題】

【0004】

特許文献１では、オンラインバンキングにおいてユーザ操作が従来の傾向と異なる場合にそれを検知して別の手段(メール又は電話)で認証を行う方法が開示されている。ユーザ操作の具体的なものとして記載されているのは、パスワードの間違い方の傾向、入力の癖(全角/半角、数値のカンマの有無)などである。しかしながら、複数の判定基準を組み合わせて検知する方法については開示されておらず、誤検知の確率が高いという問題がある。また、入力項目に入力されサーバ側へ送信された情報のみから判定処理を行っている。そのため、入力項目あるページでないと判定できず、検知のタイミングが限定される。さらに、不正利用を検知した場合に、メールや電話により再認証を行うため、認証コストが大きいという問題がある。

【0005】

特許文献２では、Webブラウザ上での操作の特徴量を利用してWebサイト利用者の特徴および傾向を分析する方法が開示されている。しかし分析内容は、Webサイトのコンテンツに依存して設計されるため、一般的なWebサイトには適用することが出来ない。また、Webサイト利用者の特徴および傾向を分析するものであって、不正利用か否かを判定するものではない。

【0006】

特許文献３では、過去の慣習情報から構築したベイジアンネットにより、アクセスユーザが本人である確率を算出する方法について開示されている。利用する慣習情報として記載されているのは、アクセス年月日、アクセス時間帯等を含む時間情報、ＩＤやパスワード入力時のキーボードの平均打鍵速度や隣接打鍵間速度、マウス操作の軌跡情報などである。しかしながら、これらの慣習情報を用いた具体的な確率算出方法は開示されておらず、慣習情報のユーザ間のばらつきは考慮されていない
以上の従来技術においては、複数の判断基準(特徴量)を組合せて不正利用の判定処理を行っておらず、特徴量のユーザ間のばらつきを考慮していないため、誤検出確率が高いという問題がある。

【0007】

本発明はこのような事情に鑑み、端末の不正利用の検出精度を向上させることを目的とする。

【課題を解決するための手段】

【0008】

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。

【0009】

ユーザの操作ログから算出される複数の操作特徴量と、他のユーザの複数の操作特徴量を用いて算出されるユーザの複数の操作特徴量の重みとを記録し、端末装置の操作ログを取得し、操作ログから複数の操作特徴量を算出し、算出した複数の操作特徴量と記録されたユーザの複数の操作特徴量との類似度を、記録されたユーザの複数の操作特徴量の重みを用いて算出し、端末装置の不正利用を検出する不正利用検出方法である。

【発明の効果】

【0010】

本発明によれば、端末の不正利用の検出精度を向上させることが可能となる。

【0011】

上記した以外の課題、構成及び効果は、以下の実施形態の説明より明らかにされる。

【図面の簡単な説明】

【0012】

【図1】システムのハードウェア構成を表す図の例である。

【図2】操作特徴量重み算出処理の流れを表す図の例である。

【図3】操作ログテーブルの例である。

【図4】操作特徴量テーブルの例である。

【図5】操作特徴量重みテーブルの例である。

【図6】不正利用検出機能における操作特徴量重みテーブル算出処理を表すフローチャートの例である。

【図7】不正利用検出機能における利用状況判定処理を表すフローチャートの例である。

【図8】不正利用判定処理の流れを表す図の例である。

【図9】判定閾値テーブルの例である。

【図10】判定結果テーブルの例である。

【図11】不正利用検出機能における不正利用判定処理を表すフローチャートの例である。

【図12】モバイル端末装置において不正利用検出を行う場合のシステム構成及び動作の流れを表す図の例である。

【発明を実施するための形態】

【0013】

以下、本発明の一実施形態を添付図面に基づいて説明する。

【実施例1】

【0014】

図１は実施形態を示し、本発明を適用する計算機システムのハードウェア構成を示すブロック図である。

【0015】

図１において、ネットワーク１０１にはユーザが業務を行うモバイル端末装置１１０と、ユーザの端末操作を分析し不正利用の監視を行う操作分析サーバ１３０と、ユーザが業務を行うためのアプリケーションプログラムが動作する業務Webサーバ１７０が接続されている。

【0016】

モバイル端末装置１１０は、演算処理を行うＣＰＵ１１１と、プログラムやデータを格納するメモリ１１２と、ネットワーク１０１を介して他のサーバと通信を行う通信インターフェース１１３と、モバイル端末の位置を検出するための位置検出モジュール１１４と、モバイル端末の加速度を測定するための加速度センサ１１５と、操作画面を表示するための画面表示装置１１６と、画面表示装置においてユーザが触れた位置を検出するためのタッチセンサ１１７を備える。ユーザはタッチセンサ１１７を操作することによりＷｅｂブラウザ１２１を操作する。通信インターフェース１１３とネットワーク１０１の接続は、有線ネットワークもしくは無線ネットワークのどちらでもよい。

【0017】

モバイル端末装置１１０のメモリ１１２には、Webブラウザ１２１が、プログラムとして存在する。さらにWebブラウザ１２１は、業務Webサーバ１７０からのレスポンスを画面表示するレンダリングエンジン１２２と、レスポンスに含まれる操作記録機能１２４および操作ログ送信機能１２５を実行するスクリプトエンジン１２３を含む。操作記録機能１２４は、ユーザがWebブラウザ１２１上で行った操作を操作ログとして記録し、操作ログ送信機能１２５は、記録された操作ログを操作分析サーバ１３０へ送信する。

【0018】

操作分析サーバ１３０は、ＣＰＵ１３１と、メモリ１３２と、通信インターフェース１３３と、ディスクコントローラ１３４と、ローカルディスク１３５と、を備える。操作分析サーバ１３０のメモリ１３２には、操作分析プログラム１４１が存在し、操作分析プログラム１４１は、操作記録モジュール挿入機能１４２と、レスポンス改変機能１４３と、不正利用検出機能１４４と、を含む。ＣＰＵ１３１がメモリに記録されている各種プログラムを読み出して実行することにより、各種機能を実現する。また、ローカルディスク１３５には、操作ログテーブル１４５と、操作特徴量テーブル１４６と、操作特徴量重みテーブル１４７と、判定閾値テーブル１４８と、判定結果テーブル１４９が格納されている。

【0019】

業務Webサーバ１７０は、ＣＰＵ１７１と、メモリ１７２と、通信インターフェース１７３と、ディスクコントローラ１７４と、ローカルディスク１７５と、を備える。操作分析サーバ１７０のメモリ１７２には、業務アプリケーションプログラム１８１が存在する。ここで業務アプリケーションプログラム１８１は、例えば、メール送受信、商品在庫管理、勤怠管理、営業案件管理などをWebブラウザから操作することが可能なプログラムである。

【0020】

はじめに、図２から図７を用いて、不正利用判定処理に必要な操作特徴量重みを算出する処理について説明する。

【0021】

図２は、操作特徴量重みを算出する際の処理の流れを表すシステム構成図である。

【0022】

ユーザはモバイル端末装置１１０のWebブラウザ１２１を用いて、業務Webサーバ１７０で動作する業務アプリケーション１８１にアクセスする。Webブラウザ１２１がリクエスト（Ｓ２０１）を発行すると、そのリクエストを操作分析サーバ１３０の操作記録モジュール１４２がトラップし、操作記録モジュール１４２が同一のリクエストを業務Ｗｅｂサーバ１７０の業務アプリケーション１８１へ送信する（Ｓ２０２）。業務アプリケーション１８１はリクエストに対するレスポンスを送信し（Ｓ２０３）、操作記録モジュール１４２は受信したレスポンスへ操作記録機能１２４および操作ログ送信機能１２５を埋め込んで、Ｗｅｂブラウザ１２１へ送信する（Ｓ２０５）。

【0023】

Ｗｅｂブラウザ１２１では業務アプリケーション１８１の画面が表示されるが、同時に操作記録機能１２４および操作ログ送信機能１２５がスクリプトエンジン１２３において実行される。画面上でユーザが操作を行った場合（Ｓ２０６）、その操作内容を操作記録機能１２４が記録し（Ｓ２０７）、操作ログ送信機能１２５が操作分析サーバ１３０へ送信する（Ｓ２０８）。

【0024】

操作分析サーバ１３０上の不正利用検出機能１４４はモバイル端末装置１１０からの操作ログを受信すると、操作ログテーブル１４５へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、操作特徴量テーブル１４６に格納する（Ｓ２０９）。さらに、操作特徴量テーブル１４６から特徴量の重みを算出し、操作特徴量重みテーブル１４７へ格納する（Ｓ２１０）。

【0025】

上記のように、操作記録モジュール１４２が、モバイル端末装置１１０へのレスポンスＳ２０５に操作記録機能１２４および操作ログ送信機能１２５を埋め込むことによって、モバイル端末装置１１０および業務Ｗｅｂサーバ１７０を変更することなく、自動的にＷｅｂブラウザ１２１において操作記録機能１２４および操作ログ送信機能１２５を動作させることが可能となる。

【0026】

図３に、操作ログテーブル１４５の一例を示す。

【0027】

操作ログテーブル１４５には、ユーザを識別するためのＩＤ３０１、操作が行われた日時３０２、操作が行われたＷｅｂページのＵＲＬ３０３、操作によって発生したイベントの種別３０４、イベント種別に応じた属性値３０５が含まれる。

【0028】

例として、ユーザがＷｅｂページを表示した際には、イベント種別が“ｌｏａｄ”である操作ログレコードが記録される。ユーザが別のＷｅｂページを表示したり、Ｗｅｂブラウザを終了した場合には、イベント種別“ｕｎｌｏａｄ”が記録される。また、ユーザがタッチパネルに手を触れた際には、イベント種別が“ｔｏｕｃｈｓｔａｒｔ”、タッチパネルから手を離した際には、イベント種別が“ｔｏｕｃｈｅｎｄ”である操作ログレコードが記録される。この際、属性値には手を触れたもしくは離した際のタッチパネル上の座標が記録される。

【0029】

また、ユーザがＷｅｂブラウザ上に表示されたＷｅｂページをスクロールさせた場合には、イベント種別“ｓｃｒｏｌｌ”がスクロール移動量とともに記録される。

【0030】

また、ユーザがＷｅｂページ内の入力欄にテキストを入力した場合は、その内容が“ｋｅｙｐｒｅｓｓ”として記録される。

【0031】

また、ユーザがＷｅｂページ上に表示されたボタンや他のＷｅｂページへのリンクなどを押した場合には、“ｃｌｉｃｋ”が記録される。

【0032】

また、ユーザがモバイル端末装置１１０の画面表示方向（縦長方向または横長方向）を変更した場合には、イベント種別”ｏｒｉｅｎｔａｔｉｏｎｃｈａｎｇｅ”が記録される。

【0033】

また、位置検出モジュール１１４から取得された端末位置情報（緯度、経度、移動速度）は、イベント種別“ｇｅｏｌｏｃａｔｉｏｎ”として記録される。

【0034】

また、加速度センサ１１５から取得された加速度情報は、イベント種別“ｄｅｖｉｃｅｍｏｔｉｏｎ”として記録される。

【0035】

図４に、操作特徴量テーブル１４６の一例を示す。

【0036】

操作特徴量テーブル１４６には、ＷｅｂページのＵＲＬ４０１、ユーザを識別するためのＩＤ４０２、モバイル端末装置の利用状況４０３の組み合わせに対し、Ｎ個の操作特徴量４０４から４０６が記録される。ここでは、利用状況が机上である場合のユーザＸの操作特徴量Ｖ_iの値をＶ_{Xi_D}と記載し、利用状況が手持ちである場合をＶ_{Xi_H}と記載している。利用状況４０３については、図７の説明において詳細を述べる。

【0037】

操作特徴量は、モバイル端末の加速度センサ１１５で取得される加速度情報、位置検出モジュール１１４で取得される位置情報、さらにはタッチセンサ１１７で取得されるタッチパネルの操作情報などから算出される。

【0038】

ここで操作特徴量とは、例えば次のようなものである。“ｌｏａｄ”から“ｕｎｌｏａｄ”までの所要時間から算出されるページの閲覧時間、“ｔｏｕｃｈｓｔａｒｔ”から“ｔｏｕｃｈｅｎｄ”までの所要時間の平均から算出されるタッチ平均時間、スクロール移動量およびスクロール時のタッチ所要時間から算出されるスクロール操作速度、“ｔｏｕｃｈｓｔａｒｔ”および“ｔｏｕｃｈｅｎｄ”の座標から算出されるタッチパネル上でのスクロール操作位置、“ｔｏｕｃｈｓｔａｒｔ”および“ｔｏｕｃｈｅｎｄ”の座標から算出されるタッチ操作によるＷｅｂページ表示の拡大・縮小の操作方向および頻度、“ｋｅｙｐｒｅｓｓ”から算出される文字の入力速度、“ｏｒｉｅｎｔａｔｉｏｎｃｈａｎｇｅ”に記録された画面表示方向(縦長／横長)、“ｄｅｖｉｃｅｍｏｔｉｏｎ”に記録された加速度から算出される端末の角度および振動量である。

【0039】

また、操作特徴量テーブル１４６は、Ｗｅｂページ毎に全てのユーザについて各々の操作特徴量を平均した操作特徴量平均値Ｖ_{i_avg}が格納されている。

【0040】

図５に、操作特徴量重みテーブル１４７の一例を示す。

【0041】

操作特徴量重みテーブル１４７には、ＷｅｂページのＵＲＬ５０１、ユーザを識別するためのＩＤ５０２、モバイル端末装置の利用状況５０３の組み合わせに対し、Ｎ個の操作特徴量重み５０４から５０６が含まれる。ここでは、ユーザＸの操作特徴量Ｖ_iに対する操作特徴量重みの値Ｗ_iを、Ｗ_{Xi_D}と記載している。

【0042】

図６に、不正利用検出機能１４４における特徴量重み算出処理のフローチャートを示す。

【0043】

モバイル端末装置１１０からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル１４５へ書き込む（Ｓ６０１）。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する（Ｓ６０２）。次に、図７で述べる利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する（Ｓ６０３）。当該ＷｅｂページＵＲＬおよび当該ユーザおよび利用状況に対し、操作特徴量を操作特徴量テーブル１４６へ書き込み（Ｓ６０４）、操作特徴量テーブル１４６における平均値Ｖ_{i_avg}を再度算出し更新する（Ｓ６０４）。

【0044】

さらに数１によって操作特徴量重みを算出し、当該ユーザのＳ６０４で判定した利用状況における操作特徴量重みを記録する（Ｓ６０６）。

【0045】

【数1】

【0046】

数１における操作特徴量重み算出は、全ユーザの平均からより異なっている特徴量の重みを高くするようになっている。これにより、各ユーザの特徴が出やすい操作に対して特徴量重みが高くなるため、不正利用検出精度の向上効果が得られる。

【0047】

図７に、不正利用検出機能１４４における利用状況判定処理Ｓ６０３のフローチャートの例を示す。

【0048】

操作特徴量テーブル１４６に格納された振動量を用いて、振動量が一定値以上かを判定する（Ｓ７０１）。振動量が一定値より大きい場合は、振動周期が一定値以下であるか判定する（Ｓ７０２）。振動周期が一定値以下である場合は、電車や自動車等に「乗車中」であると判定する（Ｓ７０３）。振動周期が一定以上である場合は、端末角度に変動があるかを判定し（Ｓ７０４）、変動がある場合は端末を「手持ち歩行中」であると判定する（Ｓ７０５）。端末角度に変動が無い場合は、利用状況を「その他不明」とする（Ｓ７０６）。Ｓ７０１において振動量が一定値以下である場合も、Ｓ７０４と同様に端末角度に変動があるがを判定し（Ｓ７０７）、変動がある場合は端末を「手持ち静止中」であると判定する（Ｓ７０８）。端末角度に変動が無い場合は、利用状況を「机上」とする（Ｓ７０９）。

【0049】

上記では端末角度および振動量により判定処理を行う例を示したが、端末位置情報を組み合わせて判定してもよい。

【0050】

モバイル端末装置は、机上に置いて両手で操作する場合と、片手で持ちもう一方の手で操作する場合で操作の傾向が大きく異なる。また歩行中や、電車や自動車等に乗車中などでは周囲の環境により操作の傾向が変わる可能性がある。そのため上記のように振動量や端末角度からモバイル端末装置の利用状況を判定（Ｓ６０４）して、利用状況毎の操作特徴量重みを算出することにより、不正利用検出精度の向上が期待できる。

【0051】

以上まで、操作特徴量重みを算出する際の処理について説明した。次に、ユーザがアクセスした際に不正利用検出処理を行う際の処理の流れについて図８から図１１を用いて説明する。

【0052】

図８は、不正利用検出処理の流れを表すシステム構成図である。

【0053】

ユーザが、Ｗｅｂブラウザ１２１において業務アプリケーション１８１の画面を表示して操作を行うと（Ｓ８０１）、操作記録機能１２４および操作ログ送信機能１２５により、その操作ログが操作分析サーバ１３０へ送信される（Ｓ８０２、Ｓ８０３）。操作分析サーバ１３０上の不正利用検出機能１４４はモバイル端末装置１１０からの操作ログを受信すると、操作ログテーブル１４５へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、当該ユーザＩＤに対応する操作特徴量および操作特徴量重みを、操作特徴量テーブル１４６および操作特徴量重みテーブル１４７から取得する。受信した操作ログから算出された操作特徴量と、操作特徴量テーブル１４６に記録されている操作特徴量の類似度を算出する。この時、操作特徴量重みテーブル１４７に記録されている操作特徴量重みを使用して操作特徴量の類似度を重みつきで算出する。これにより、正規ユーザの特徴が表れやすい特徴量をより重視して操作特徴量の類似度を算出することが可能となり、不正利用の判定精度の向上が可能となる。この特徴量の重み付き類似度の算出方法については後述の図１１の説明において詳細に説明する。この特徴量の重み付き類似度を不正利用確度とする。算出された不正利用確度に対して、判定閾値テーブル１４８に格納されている判定閾値と比較することにより不正利用判定結果を算出し、判定結果テーブル１４９に格納する（Ｓ８０４）。

【0054】

その後、ユーザからＷｅｂページのリクエストが行われた場合、Ｓ８０５からＳ８０８の流れは図２におけるＳ２０１からＳ２０４の流れと同一であるが、レスポンス改変機能１４３は、判定結果テーブル１４９を参照し、当該ユーザにおける判定結果を基に、モバイル端末装置１１０へのレスポンスを改変する（Ｓ８０９）。

【0055】

不正利用の可能性が疑われる場合の再認証において、常にモバイル端末におけるユーザIDやパスワードの再入力をさせることは、ユーザにとって操作が煩雑となる。そこで、本実施例では、不正利用確度に応じて再認証の方法を切り替える。これにより、ユーザIDやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。以下、詳細に説明する。

【0056】

図９に、判定閾値テーブル１４８の一例を示す。

【0057】

判定閾値テーブル１４８には、レスポンス種別９０１、および、各レスポンス種別に対応した判定閾値９０２が含まれる。判定閾値９０２は、端末が管理エリア内にある場合の判定閾値９０３と、管理エリア外にある場合の判定閾値９０４からなる。管理エリア外の場合の判定閾値９０５はさらに、ユーザのアクセス先がＷｅｂサイトＡである場合の判定閾値９０５と、ＷｅｂサイトＢである場合の判定閾値９０６からなる。ここで管理エリアとは、端末が安全に利用可能な場所であり、例えばオフィスの執務室である。この例では、管理エリア外の場合の判定閾値９０４のみがアクセス先のＷｅｂサイトにより異なる判定閾値が設定されているが、管理エリア内の場合の判定閾値９０３についても同様にＷｅｂサイト毎に判定閾値を設定してもよい。

【0058】

端末の位置情報から端末が管理エリア内にあるか判定し、管理エリア内にある場合は、不正利用確度がＴ_{IN_1}以上である場合に判定結果はアクセス拒否となり、不正利用確度がＴ_{IN_1}未満Ｔ_{IN_2}以上である場合に判定結果は認証要となり、不正利用確度がＴ_{IN_2}未満Ｔ_{IN_3}以上である場合に判定結果は再操作要となり、不正利用確度がＴ_{IN_3}未満である場合に判定結果は問題なしとなる。端末が管理エリア外にある場合も、Ｔ_{OUT_1}〜Ｔ_{OUT_3}を用いて同様に判定する。操作分析サーバは、端末が管理エリア内にあるかを判定するために、管理エリア内外に対応する位置情報を予め保持している。また、判定閾値は、操作分析サーバの管理者が、外部から設定可能である。

【0059】

管理エリア外判定閾値９０４（Ｔ_{OUT_1}〜Ｔ_{OUT_3}）を管理エリア内判定閾値９０３（Ｔ_{IN_1}〜Ｔ_{IN_3}）より低く設定することにより、移動中など端末の盗難や紛失が発生しやすい状況における不正利用検出確率を向上させることが可能となる。また、アクセス先Ｗｅｂサイトに応じた判定閾値を使用することにより、機密性の高いＷｅｂサイトは判定閾値を厳しくし、機密性の低いＷｅｂサイトは判定閾値を緩くするといった、Ｗｅｂサイトの特性に応じた判定処理が可能となる。

【0060】

図１０に、判定結果テーブル１４９の一例を示す。

【0061】

判定結果テーブル１４９には、ユーザＩＤ１００１、および、各ユーザＩＤに対応した判定結果１００２が含まれる。

【0062】

レスポンス改変機能１４３は、ユーザからのリクエストが行われた際に、当該ユーザのユーザＩＤに対応する不正利用判定結果を判定結果テーブル１４９から取得し、不正利用判定結果に応じたレスポンス改変を行って、Ｗｅｂブラウザ１２１へレスポンスを送信する。

【0063】

不正利用判定結果が「アクセス拒否」である場合は、レスポンスを送信せず、ユーザからのアクセスを拒否する。不正利用判定結果が「認証要」である場合は、ユーザＩＤおよびパスワードによる認証用Ｗｅｂページへユーザを移動させる。不正利用判定結果が「再操作要」である場合は、操作特徴量の違いが表れやすい他のＷｅｂページへユーザを移動させる。ここで、ユーザをどのＷｅｂページへ移動させるかは、数２により当該ユーザにおける各Ｗｅｂページの操作特徴量感度を算出し、最も操作特徴量感度が高いＷｅｂページを移動先ページとして選択する。

【0064】

【数2】

【0065】

不正利用判定結果が「問題なし」である場合は、レスポンスを改変せずＷｅｂブラウザ１２１へ送信する。

【0066】

上記のとおり、不正利用確度に応じて再認証の方法を切り替えることにより、不正利用確度が大きくない場合にユーザＩＤやパスワードによる煩雑な認証手順を行わずに済むため、ユーザビリティを向上させることが可能となる。

【0067】

図１１に、不正利用検出機能１４４における不正利用判定処理のフローチャートを示す。

【0068】

モバイル端末装置１１０からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル１４５へ書き込む（Ｓ１１０１）。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する（Ｓ１１０２）。次に、図７で述べた利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する（Ｓ１１０３）。ＷｅｂページＵＲＬ、ユーザＩＤ、利用状況の組み合わせに対応する操作特徴量を、操作特徴量テーブル１４６から取得し（Ｓ１１０４）、数３により不正利用確度を算出する（Ｓ１１０５）。算出した不正利用確度と判定閾値テーブル１４８により、不正利用判定処理を行い、判定結果を判定結果テーブルへ書き込む（Ｓ１１０６）。

【0069】

【数3】

【0070】

以上の実施例構成により、複数の操作特徴量の組み合わせ、および、ユーザ間の操作特徴量のばらつきを考慮するための操作特徴量重み算出判定処理により、不正利用検出精度を向上させることが可能となる。

【0071】

また、不正利用確度に応じて再認証の方法を切り替えることにより、ユーザＩＤやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。

【実施例2】

【0072】

本実施例では、モバイル端末装置１１０側で不正利用判定処理を行う方法について示す。

【0073】

図１２に、モバイル端末装置１１０側で不正利用判定処理を行う場合のシステム構成および処理の流れを示す。

【0074】

ユーザはモバイル端末装置１１０のＷｅｂブラウザ１２１を用いて、業務Ｗｅｂサーバ１７０で動作する業務アプリケーション１８１にアクセスする。Ｗｅｂブラウザ１２１がリクエスト（Ｓ１２０１）を発行すると、そのリクエストを操作分析サーバ１３０の操作記録モジュール１４２がトラップし、操作記録モジュール１４２が同一のリクエストを業務Ｗｅｂサーバ１７０の業務アプリケーション１８１へ送信する（Ｓ１２０２）。業務アプリケーション１８１はリクエストに対するレスポンスを送信し（Ｓ１２０３）、操作記録モジュール１４２は受信したレスポンスへ操作記録機能１２４および端末側不正利用検出機能１５０を埋め込んで、Ｗｅｂブラウザ１２１へ送信する（Ｓ１２０５）。この際、端末側不正利用検出機能１５０には、操作分析サーバの操作特徴量テーブル１４６、操作特徴量重みテーブル１４７、判定閾値テーブル１４８の当該ユーザに関する情報が送信される（Ｓ１２０４）。

【0075】

ユーザが、Ｗｅｂブラウザ１２１において業務アプリケーション１８１の画面を表示して操作を行うと（Ｓ１２０６）、操作記録機能１２４により操作内容が取得される（Ｓ１２０７）。

【0076】

端末側不正利用検出機能１５０は、取得された操作内容および操作特徴量テーブル１４６、操作特徴量重みテーブル１４７、判定閾値テーブル１４８から、不正利用判定処理を行い、その結果を判定結果テーブル１４９へ格納する。この際の判定処理方法は、図１１に記載のものと同一である。

【0077】

端末側不正利用検出機能１５０は、判定処理結果に基づいて、Ｗｅｂブラウザ１２１へページ遷移リクエストを行う（Ｓ１２０９）。

【0078】

以上の通り、モバイル端末装置１１０において不正利用検出処理を行うことにより、ユーザがＷｅｂページにアクセスするタイミングに限らず、任意のタイミングで不正利用検出処理を行うことが可能である。

【0079】

以上の実施例１および実施例２では、操作記録機能１２４、操作ログ送信機能１２５、端末側不正利用検出機能１５０は、Ｗｅｂブラウザ１２１上で動作するものとして説明したが、Ｗｅｂブラウザでなく、業務アプリケーションに対応した独立したプログラムであってもよい。

【0080】

また、操作分析プログラム１４１を業務サーバ１７０の上で動作させ、操作分析サーバ１３０を不要としてもよい。

【0081】

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Solid State Drive）等の記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

【0082】

また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

【符号の説明】

【0083】

１１０モバイル端末装置
１３０操作分析サーバ
１７０業務Ｗｅｂサーバ
１２１Ｗｅｂブラウザ
１４１操作分析プログラム
１４２操作記録モジュール挿入機能
１４３レスポンス改変機能
１４４不正利用検出機能
１４５操作ログテーブル
１４６操作特徴量テーブル
１４７操作特徴量重みテーブル
１４８判定閾値テーブル
１４９判定結果テーブル
１８１業務アプリケーション

【図1】